Home > PR, crisis management, e-commerce > Wielki kryzys, wielkiego Allegro

Wielki kryzys, wielkiego Allegro

December 25th, 2006 dominik Leave a comment Go to comments

Logo Allegro

No i mamy wpadkę największego serwisy aukcyjnego w Polsce. Takich „problemów” nie powstydziłby się nawet amerykański Ebay.

Najpopularniejszy polski serwis aukcyjny Allegro.pl zawiera w sobie luki – odkryli redaktorzy serwisu Hacking.pl. Co więcej określili, że poziom bezpieczeństwa na tym serwisie jest „równy zeru”. Znalezienie błędów zajęło im 3 minuty . Trwają prace nad weryfikacją informacji o lukach – odpowiadają pracownicy Allegro.

Z newsów na Hacking.pl można się dowiedzieć:

(…)System zabezpieczeń Allegro nie stanowi zbyt dużej przeszkody; w kilka minut można wykraść dane osobowe dowolnego użytkownika, przejąć jego login i hasło oraz wystawić nową aukcję.

System Allegro jest podatny na ataki typu XSS (Cross Site Scripting), CSRF (Cross-Site Request Forgery) i Session Fixation, co umożliwia pozyskanie dostępu do wspomnianych powyżej danych i przeprowadzenia czynności związanych z obsługą konta czynności dzięki odpowiednio spreparowanemu adresowi URL. (…)

Tymczasem Allegro wydaj oświadczenie w związku z publikacją na Hacking.pl.

Hmm… i co ja na to. Szczerze trochę dziwi mnie forma oświadczenie. Z jednej strony, że niby jest wszystko OK!, że bardzo dziękują za zwrócenie uwagi i doceniają to, że redakcja Hacking.pl zwróciła się z problemem od razu do nich.

Nie mogę jednak zrozumieć jak taki serwis mógł mimo wszystko zareagować tak późno i nie przyznać się do błędu w komunikacji, a zwalać wszystko na świąteczne „obłożenie” serwisu. Dziwi mnie to trochę bo wystarczy przecież wystawić aukcję, która w jednym małym aspekcie nie zgadza się z regulaminem serwisu, a reakcja Allegro jest niemal natychmiastowa – z reguły zajmuje im to kilka godzin. Gdzie więc byli w tym czasie kiedy redaktor Hacking.pl przysłał im ostrzeżenie?

W niedługim czasie po ujawnieniu luk Allegro zapowiedziało przerwę techniczną między 1:00-2:00 godziną w nocy. I mimo, że pracownicy serwisu aukcyjnego zarzekali się, że nie ma ona nic wspólnego z wykryciem luk w bezpieczeństwie to informacja ta wywołała prawdziwe piekło na forum Allegro (poczytajcie te wpisy WARTO!)
Co gorsza na wątpliwości i zarzuty użytkowników wobec działań serwisu nikt do tej pory z pracowników Allegro nie odpowiedział. Ojjj minus!

Podziel się:
  • del.icio.us
  • Facebook
  • Blip
  • Flaker
  • Google Buzz
  • Twitter
  • Wykop
Categories: PR, crisis management, e-commerce Tags:
  1. No comments yet.
  1. No trackbacks yet.
You must be logged in to post a comment.

Switch to our mobile site